Apesar de todos os esforços das fabricantes e equipes de segurança de TI, os cibercriminosos sempre tentam estar um passo à frente e, com a queda nos lucros dos ataques com ransomware e do cryptojacking, agora é a vez de investirem no formjacking: ataques direcionados às lojas virtuais para obter os dados dos cartões dos clientes. Nesse modelo, os hackers injetam nos sites um código JavaScript malicioso para analisar os dados.
Esse tipo de ataque aumentou de forma constante no segundo semestre do ano passado e, embora essas pequenas linhas de código sejam muito difíceis de detectar, por outro lado são muito eficazes. Apesar da capacidade de coletar dados de qualquer elemento da navegação na web, o formjacking é direcionado principalmente para sites de e-commerce.
As ferramentas de "formjacking", como as usadas pelo grupo de hackers Magecart, são excepcionalmente flexíveis e podem comprometer milhares de páginas, muitas vezes a partir de extensões e é exatamente o que torna esse método de ataque muito lucrativo.
Além disso, o grupo Magecart explora novas vulnerabilidades de forma rápida e o mais preocupante é que ao mesmo tempo que as empresas as descobrem em seu software de e-commerce, também percebem que já foram exploradas.
Muitos CISOs de grandes empresas podem estar se perguntando: "O que isso tem a ver comigo?" No mundo atual, baseado em nuvem, onde uma interação pode afetar milhares de outras pessoas, a pergunta faz todo o sentido e requer ação imediata.
É fato que o formjacking atualmente tem foco no comércio eletrônico e roubo de detalhes do cartão de crédito, mas, como sabemos, os alvos dos ciberataques estão em constante evolução. Vale lembrar que o formjacking pode segmentar qualquer tipo de dado inserido em um formulário, via web, incluindo informações de login e dados de funcionários.
Segundo o IDC, atualmente nove entre dez empresas realizam pelo menos um projeto de transformação digital baseado na nuvem. À medida que essas empresas progridem em suas estratégias de transformação digital, estão desenvolvendo cada vez mais aplicações por meio de infraestrutura como serviço (IaaS). Isso as torna vulneráveis ao formjacking, que pode atacar qualquer tipo de coleta de dados baseada na web. Isso não é somente um alerta, é também uma evidência para convencer os colegas corporativos de que é hora de investir em um programa de transformação de segurança da informação.
É fundamental que os CISOs com visão tenham o formjacking no radar e, para isso, existem três etapas simples para ajudar a proteger a empresa desse tipo de ataque:
- Como primeiro passo, é recomendável revisar e fortalecer o processo de governança de segurança, que deve ser proativo e reativo. Consistência é fundamental e também é importante seguir os mesmos procedimentos e diretrizes de segurança para todos os módulos de plug-in e extensões, garantindo que altos níveis de segurança sejam incorporados ao processo de desenvolvimento de todas as aplicações da web. Além de acompanhar boletins e correções de segurança, é necessário realizar avaliações regulares de vulnerabilidades. Pode ser útil rodar novas atualizações de software em pequenos ambientes de teste, pois isso ajuda a destacar comportamentos incomuns no script.
- É essencial que as empresas desenvolvedoras de aplicações, por meio da infraestrutura baseada na nuvem, repensem suas soluções de segurança. Abordagens tradicionais não cobrem mais as superfícies de ataque de uma empresa habilitada para nuvem. Um ponto forte é considerar um Cloud Access Security Broker (CASB). As empresas estão recorrendo cada vez mais ao CASB para abordar riscos do serviço na nuvem, fornecendo visibilidade, conformidade, controle de acesso granular, proteção contra ameaças, prevenção de vazamento de dados e criptografia, mesmo quando os serviços estão além de perímetro e fora do controle direto.
- Com os atuais ataques de formjacking, os lojistas muitas vezes não estão cientes das vulnerabilidades em sua base de extensão instalada. Eles até podem ter uma governança de segurança fantástica e efetuar correções de acordo com as orientações de segurança, mas, se o fornecedor não informar que há vulnerabilidades recém-descobertas, elas ainda podem executar componentes vulneráveis e, portanto, ficarão desprotegidas. Isso ressalta a importância do relacionamento com os fornecedores – algo que é tão importante para os CISOs quanto para os lojistas de e-commerce.
Resumindo, não basta apenas investigar a credibilidade de um fornecedor antes de usar o software. Você está entrando em uma parceria de trabalho de longo prazo com eles e, portanto, é essencial investir tempo para fazer disso um relacionamento sólido e forte, com base na confiança mútua, no qual podem atuar juntos para conversar abertamente sobre possíveis vulnerabilidades e buscar uma solução.
Paolo Passeri, diretor de Ciberinteligência da Netskope.